Ardamax.A
November 28th, 2006
Zilele trecute am observat ca daca las sistemul in standby cateva ore , antivirusul (Kaspersky 6.0) detecteaza ceva de genul :
riskware not-a-virus:Monitor.Win32.Ardamax.24 File: C:\WINDOWS\system32\Sys\Explorer.006
dupa care …
Process (PID 3356) tried to access Kaspersky Anti-Virus 6.0 process (PID 1492), but it has been blocked. This is Self-Defense monitoring, and you do not need to do anything.
M-am interesat de acest Ardamax si am gasit ceva despre el pe site-ul de la BitDefender unde este prezentat ca un virus cu raspindere mica si…de risc mic .
Raspandire: Mica
Descoperit : 2006 May 09
Risc: Mic
Marime: 413k
Ce inteleg cei de la BitDefender prin “risc mic” de l-au clasificat asa nu prea pot sa inteleg, pentru ca Ardamax este un Trojan / Keylogger care se ascunde destul de bine in sistem facand in acelasi timp captura de parole (ICQ Pro, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda, QiP, etc). Foloseste cu succes C:\Windows\system32\svhost.exe pentru a accesa un protocol de trimitere sa datelor din calculator catre exterior. Suficient pentru mine sa-i dau destula atentie.
Virusul este creatia unui roman si este de obicei trimis cu printr-un link in e-mail :
“salut ionut uite aici ti-am pus programu de care tot ti-am zis… o sa iti dau si ip-urile care trebuie sa le pui acolo mai vorbim pe net cand intri..cauta-ma! http://[REMOVED]/vladutz2006/client.zip “
Culmea a fost ca am luat virusul dintr-o arhiva de antivirus descarcata de pe un torrent. Ingenios mod de a plasa un virus. Cine a facut asta a fost convins ca cine descarca o arhiva anti-virus ori nu este protejat deloc , ori are un av. slab.
H:\Kaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006].rar\Kaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006]\Install.exe
Pentru cei “interesati” arhivele virusate se gasesc si acum pe : dosc.torrents.ro si www.demonoid.com .
